Уязвимость обхода политики одного происхождения в Mozilla Firefox через некорректное ограничение взаимодействия между Service Workers и плагинами
Описание
В браузере Mozilla Firefox выявлена уязвимость, которая позволяет злоумышленникам обойти политику одного происхождения. Эта проблема связана с некорректным ограничением взаимодействия между Service Workers и плагинами. Злоумышленники могут использовать специально созданный веб-сайт, который инициирует поддельные ответы на запросы, использующие NPAPI, как продемонстрировано на примере запроса для файла crossdomain.xml.
Затронутые версии ПО
Mozilla Firefox до версии 44.0.2
Тип уязвимости
Подмена данных
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
EPSS
8.8 High
CVSS3
6.8 Medium
CVSS2
Дефекты
Связанные уязвимости
Mozilla Firefox before 44.0.2 does not properly restrict the interaction between Service Workers and plugins, which allows remote attackers to bypass the Same Origin Policy via a crafted web site that triggers spoofed responses to requests that use NPAPI, as demonstrated by a request for a crossdomain.xml file.
Mozilla Firefox before 44.0.2 does not properly restrict the interaction between Service Workers and plugins, which allows remote attackers to bypass the Same Origin Policy via a crafted web site that triggers spoofed responses to requests that use NPAPI, as demonstrated by a request for a crossdomain.xml file.
Mozilla Firefox before 44.0.2 does not properly restrict the interacti ...
Mozilla Firefox before 44.0.2 does not properly restrict the interaction between Service Workers and plugins, which allows remote attackers to bypass the Same Origin Policy via a crafted web site that triggers spoofed responses to requests that use NPAPI, as demonstrated by a request for a crossdomain.xml file.
EPSS
8.8 High
CVSS3
6.8 Medium
CVSS2